El martes por la noche, el presidente Donald Trump despidió a Chris Krebs, director de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), pocos días después de que CISA calificara las recientes elecciones presidenciales como las «más seguras en la historia de Estados Unidos».

En un tweet publicado el mismo día, el presidente justificó su destitución de Krebs :

“La reciente declaración de Chris Krebs sobre la seguridad de las elecciones de 2020 fue muy inexacta, en el sentido de que hubo fraudes y faltas masivas, incluidas las personas muertas que votaron, los vigilantes de la encuesta no permitidos en los lugares de votación,» fallas «en las máquinas de votación que cambiaron …

… Votos de Trump a Biden, votación tardía y muchos más. Por lo tanto, con efecto inmediato, Chris Krebs ha sido despedido como Director de la Agencia de Seguridad de Infraestructura y Ciberseguridad «.

Krebs respondió cordialmente a su despido:

“Honrado de servir. Lo hicimos bien. Defiende hoy, asegura Tomrorow [sic]. # Protect2020 ”

Durante casi un mes, bajo la dirección de Krebs, CISA ha rechazado los rumores sobre las elecciones presidenciales de los Estados Unidos en un sitio web que la agencia lanzó oficialmente el 20 de octubre , denominado » Control de rumores «. El sitio web ha ganado una enorme popularidad, a menudo clasificándose como la página número uno más visitada que pertenece y es operada por el Departamento de Seguridad Nacional, donde se encuentra CISA.

Rumor Control proporcionó verificaciones de datos electorales para cuestiones de seguridad cibernética y no relacionadas con la ciberseguridad. Algunas de las declaraciones recientes del sitio web incluyen:

• Las salvaguardas sólidas que incluyen procedimientos de escrutinio y auditoría ayudan a garantizar la precisión de los resultados oficiales de las elecciones.
• El mantenimiento de la lista de registro de votantes y otras medidas de integridad electoral protegen contra el voto ilegal en nombre de personas fallecidas.
• Los informes de los resultados de las elecciones pueden producirse más lentamente que en años anteriores. Esto no indica que haya ningún problema con el proceso de conteo o los resultados. Los resultados oficiales no se certifican hasta que se hayan contado todos los votos emitidos válidamente, incluidas las papeletas que se cuentan después de la noche de las elecciones.

Aunque Krebs recibió la peor parte de la ira del presidente, él y CISA estaban lejos de ser los únicos en su evaluación de la seguridad de las elecciones.

A principios de esta semana, 59 investigadores de seguridad electoral y expertos en informática publicaron una carta conjunta en la que rechazaban las recientes acusaciones de fraude electoral del presidente.

“Somos conscientes de las alarmantes afirmaciones que se están haciendo de que las elecciones de 2020 fueron ‘amañadas’ explotando vulnerabilidades técnicas. Sin embargo, en todos los casos que conocemos, estas afirmaciones o no han sido fundamentadas o son técnicamente incoherentes ”, dijo el grupo de expertos en una carta publicada en línea . «Hasta donde sabemos, no se ha presentado ninguna evidencia creíble que apoye la conclusión de que el resultado de las elecciones de 2020 en cualquier estado se ha alterado a través de un compromiso técnico».

Además, 16 fiscales federales encargados específicamente de detectar la manipulación electoral le dijeron al fiscal general William Barr la semana pasada que no encontraron tal evidencia .

A pesar de estos hechos cada vez mayores, la partida de Krebs se anticipó en gran medida. Según un informe exclusivo de Reuters la semana pasada , Krebs había dicho a varios asociados que esperaba ser despedido después de que su agencia se negara a eliminar información fáctica de Rumor Control, según lo solicitado por la Casa Blanca:

“En particular, dijo una persona, la Casa Blanca estaba enojada por una publicación de CISA que rechazaba una teoría de la conspiración que afirma falsamente que una supercomputadora y un programa de la agencia de inteligencia, supuestamente llamado Hammer and Scorecard, podrían haber cambiado los votos a nivel nacional. No existe tal sistema, según Krebs, expertos en seguridad electoral y ex funcionarios estadounidenses «.

Una selección bipartidista de miembros del Congreso y un puñado de investigadores de ciberseguridad lamentaron el despido de Krebs.

Matt Blaze, experto en seguridad electoral y presidente McDevitt de Ciencias de la Computación y Derecho en la Universidad de Georgetown, dijo en Twitter que «proteger nuestra infraestructura nacional es un trabajo de vital importancia y extremadamente difícil, un trabajo que Chris Krebs realizó con extraordinaria integridad y habilidad excepcional».

«Despedirlo, especialmente de manera tan abrupta, ha hecho que nuestro país sea menos seguro», dijo Blaze.

El senador republicano de los Estados Unidos, Ben Sasse, de Nebraska, habló de manera similar: «Chris Krebs hizo un muy buen trabajo, como le dirán los funcionarios electorales estatales de todo el país, y obviamente no debería ser despedido».

Los representantes demócratas Bennie Thompson de Mississippi y Lauren Underwood de Illinois, quienes respectivamente se desempeñan como presidenta del Comité de Seguridad Nacional y presidenta del Subcomité de Ciberseguridad, Protección de Infraestructura e Innovación, hablaron mucho más duramente.

«El hecho es que, desde el día de las elecciones, el presidente Trump ha tratado de deslegitimar los resultados electorales participando en una campaña de desinformación que podría destruir la confianza pública en nuestras elecciones durante generaciones», dijeron ambos en un comunicado conjunto . «El director Krebs antepuso la seguridad nacional a la política y se negó a utilizar su puesto para cumplir con las órdenes del presidente, por lo que el presidente lo despidió».

Apple ha parcheado tres vulnerabilidades en iOS (y iPadOS) que estaban siendo explotadas activamente en ataques dirigidos. Las vulnerabilidades que se explotan en la naturaleza sin un parche disponible se denominan días cero. Las vulnerabilidades fueron encontradas y reveladas por el equipo Project Zero de Google, y ayer se emitieron parches.

¿Qué ha parcheado Apple en la actualización?

Las fallas de seguridad informática divulgadas públicamente se enumeran en la lista Common Vulnerabilities and Exposures (CVE). CVE es un diccionario que proporciona definiciones de vulnerabilidades y exposiciones de ciberseguridad divulgadas públicamente. El objetivo de CVE es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

Los días cero se enumeran bajo los números de identificación:

CVE-2020-27930 : Este problema es afectado por un procesamiento desconocido del componente FontParser. La manipulación con una entrada desconocida podría conducir a una vulnerabilidad de corrupción de memoria. Esto significa que se puede crear una fuente que da lugar a la corrupción de la memoria, lo que permite un ataque de ejecución remota de código ( RCE ) .

CVE-2020-27932 : una aplicación malintencionada puede ejecutar código arbitrario con privilegios del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. El uso de dicha vulnerabilidad podría permitir que el malware eluda las restricciones de seguridad en un sistema afectado.

CVE-2020-27950 : una aplicación maliciosa puede revelar la memoria del kernel. Apple está al tanto de los informes de que existe una vulnerabilidad para este problema en la naturaleza. La memoria del núcleo revelada puede contener datos confidenciales como claves de cifrado y direcciones de memoria que se utilizan para anular la distribución aleatoria del espacio de direcciones.

¿Qué es Project Zero?

Formado en 2014, Project Zero es un equipo de investigadores de seguridad de Google que encuentra y estudia las vulnerabilidades de día cero en sistemas de hardware y software. Su misión es hacer que el descubrimiento y la explotación de vulnerabilidades de seguridad sea más difícil y mejorar significativamente la seguridad de Internet para todos.

Actualiza tu iOS ahora

Dado que Apple ha señalado que al menos dos de estas vulnerabilidades están siendo explotadas en la naturaleza y nos ha informado de las posibles consecuencias, los usuarios deben instalar la actualización lo antes posible.

Se recomienda a los propietarios de un iPhone o iPad que actualicen a iOS 14.2 y iPadOS 14.2 o iOS 12.4.9. Apple parcheó las mismas vulnerabilidades en la Actualización complementaria para macOS Catalina 10.15.7. Siempre puede encontrar las últimas actualizaciones de seguridad de Apple en su sitio de actualizaciones de seguridad .

Esta publicación de blog fue escrita por Jérôme Segura y Hossein Jazi.

Las elecciones estadounidenses de 2020 han sido objeto de un intenso escrutinio y emociones, mientras ocurrían en medio de una pandemia global. Cuando terminó la noche de las elecciones y comenzó a surgir la incertidumbre sobre los resultados, los actores de amenazas decidieron intervenir también.

Quienes rastrean el panorama de las amenazas saben muy bien que los principales eventos mundiales no pasan desapercibidos para los delincuentes. En este caso, comenzamos a observar una nueva campaña de spam que entrega archivos adjuntos maliciosos que aprovechan las dudas sobre el proceso electoral.

Los operadores del troyano bancario QBot regresan con otra ola de spam temático utilizando la misma técnica de hilo de correo electrónico secuestrado que atrae a las víctimas con archivos adjuntos maliciosos de interferencia electoral.

Hilos de correo electrónico secuestrados que empujan documentos DocuSign falsos

Los correos electrónicos maliciosos vienen como respuestas de hilo, similar a lo que hace Emotet para agregar legitimidad y dificultar la detección. Contienen archivos zip que se denominan acertadamente ElectionInterference_ [8 a 9 dígitos] .zip.

Si bien los resultados de las elecciones aún se están evaluando y debatiendo, se tienta a las víctimas a abrir el documento para leer sobre la supuesta interferencia electoral:

El archivo extraído es una hoja de cálculo de Excel que se ha elaborado como si fuera un archivo DocuSign seguro. Se engaña a los usuarios para que permitan macros con el fin de «descifrar» el documento.

Este truco probado y comprobado descargará una carga útil maliciosa en la máquina de la víctima. La URL de esa carga útil está codificada en una celda de una hoja con nombre cirílico «Лист3».

Una vez ejecutado, el troyano QBot se pondrá en contacto con su servidor de comando y control y solicitará instrucciones. Además de robar y exfiltrar datos de sus víctimas, QBot también comenzará a capturar correos electrónicos que luego se utilizarán como parte de las próximas campañas de malspam.

Los eventos mundiales son el mejor señuelo

En el centro de los ataques de malware que presenciamos cada día se encuentran los típicos esquemas de ingeniería social. Los actores de amenazas necesitan lograr que las víctimas realicen un cierto conjunto de acciones para comprometerlas.

Las campañas de spam abusan habitualmente de las notificaciones de entrega de correo electrónico (Fedex, DHL, etc.) o de las alertas bancarias para disfrazar cargas maliciosas. Pero los acontecimientos mundiales como la pandemia de Covid o las elecciones estadounidenses proporcionan el material ideal para elaborar planes eficaces que dan como resultado altas tasas de infección.

Los usuarios de Malwarebytes ya estaban protegidos contra este ataque gracias a nuestra tecnología Anti-Exploit. Además, detectamos la carga útil como Backdoor.Qbot.

Indicadores de compromiso

Documentos de Excel maliciosos

b500a3c769e22535dfc0c0f2383b7b4fbb5eb52097f001814d8219ecbb3048a1 
f2fb3e7d69bf1b8c0c20484e94b20be33723b4715e7cf94c5cbb120b800328da 
0282a796dec675f556a0bf888eda0fe84f63558afc96321709a298d7a0a4f8e5 
e800b0d95e02e6e46a05433a9531d7fb900a45af7999a262c3c147ac23cd4c10 
7dec31d782ab776bcbb51bd64cbbd40039805ad94733d644a23d5cf16f85552c 
0bec208127e4a021dccb499131ea91062386126b75d098947134a37e41c4b035 
30de8dcd4e894549d6d16edb181dd1a7abec8f001c478cf73baf6075756dc8c2 
a8329913c8bbccb86b207e5a851f7696b1e8a120929ca5c0a5709bd779babedf 
ef8a17c3bb01d58bfea74a19f6cb8573cfb2d94d9e6159709ac15a7e0860dbce 
7ddc225ad0ed91ce90b3bde296c5ce0b4649447fb3f02188e5303e22dc7cb5f0

QBot

china [.] asiaspain [.] com / tertgev / 1247015.png

1edfe375fafa1f941dc4ee30702f4af31ba636e4b639bcbb90a1d793b5d4b06c
06be75b2f3207de93389e090afd899f392da2e0f1c6e02226db65c61f291b81b

QBot C2s

142.129.227 [.] 86 
95.77.144 [.] 238

Técnicas MITRE ATT & CK

Táctica	CARNÉ DE IDENTIDAD	Nombre	Detalles
Ejecución	T1059	Interfaz de línea de comandos	Inicia CMD.EXE para la ejecución de comandos
	T1106	Ejecución a través de API	La aplicación se lanzó sola
	T1053	Tarea programada	Carga la API COM del Programador de tareas
Persistencia	T1050	Nuevo servicio	Ejecutado como servicio de Windows
	T1060	Llaves de ejecución del registro / carpeta de inicio	Cambia el valor de ejecución automática en el registro.
	T1053	Tarea programada	Carga la API COM del Programador de tareas
Escalada de privilegios	T1050	Nuevo servicio	Ejecutado como servicio de Windows
	T1055	Inyección de proceso	La aplicación fue inyectada por otro proceso
	T1053	Tarea programada	Carga la API COM del Programador de tareas
Evasión de defensa	T1553	Instalar certificado raíz	Cambia la configuración de los certificados del sistema
	T1055	Inyección de proceso	La aplicación fue inyectada por otro proceso
Descubrimiento	T1087	Descubrimiento de cuenta	Inicia NET.EXE para ver / cambiar el grupo de usuarios
	T1135	Descubrimiento de recursos compartidos de red	Inicia NET.EXE para la exploración de redes
	T1069	Descubrimiento de grupos de permisos	Inicia NET.EXE para ver / cambiar el grupo de usuarios
	T1012	Registro de consultas	Lee el GUID de la máquina del registro
	T1018	Descubrimiento de sistema remoto	Inicia NET.EXE para la exploración de redes
	T1082	Descubrimiento de información del sistema	Lee el GUID de la máquina del registro
	T1016	Descubrimiento de la configuración de la red del sistema	Utiliza IPCONFIG.EXE para descubrir la dirección IP

Emotet , una de las amenazas de malware más temidas en ciberseguridad, se renovó superficialmente esta semana, ocultándose dentro de una solicitud falsa de Microsoft Office que pide a los usuarios que actualicen Microsoft Word para que puedan aprovechar las nuevas funciones.

Esta presentación renovada podría apuntar a los esfuerzos internos de los actores de amenazas para aumentar la tasa de aciertos de Emotet, una posibilidad respaldada por la telemetría de Malwarebytes medida en los últimos meses.

Emotet aumenta en medio de una tendencia a la baja

Desde el 1 de agosto, Malwarebytes ha detectado picos semanales repetidos en las detecciones de Emotet, con un pico de agosto de aproximadamente 1.800 detecciones en solo un día. Sin embargo, esos picos frecuentes delatan la actividad más amplia del malware: una tendencia lenta y constante a la baja , de un promedio de alrededor de 800 detecciones a principios de agosto a un promedio de alrededor de 600 detecciones a mediados de octubre.

Atrapado por Malwarebytes el 19 de octubre , el nuevo método de entrega de Emotet intenta engañar a las víctimas para que piensen que han recibido una actualización de Microsoft Word. La nueva plantilla, que se muestra a continuación, incluye el siguiente texto:

«Actualice su edición de Microsoft Word

La actualización de su edición agregará nuevas funciones a Microsoft Word.

Por favor, haga clic en Habilitar edición y luego en Habilitar contenido «.

Si los usuarios siguen estas peligrosas instrucciones, en realidad habilitarán las macros maliciosas que están incrustadas en la propia «solicitud de actualización», que luego se utilizarán como vector principal para infectar la máquina con Emotet.

Malwarebytes protege a los usuarios de Emotet y su último truco, como se muestra a continuación.

Para aquellos sin protección de ciberseguridad, este nuevo método de entrega puede parecer aterrador y, en cierto modo, sí lo es. Pero en comparación con los sigilosos desarrollos de Emotet en los últimos años, este último cambio es bastante común.

En 2018, la industria de la ciberseguridad detectó que Emotet se propagaba a través de enormes volúmenes de correo no deseado , en el que las víctimas potenciales recibían archivos adjuntos de correo electrónico maliciosos que supuestamente contenían información sobre «pagos pendientes» y otras facturas. En 2019, vimos una botnet que volvió a la vida para expulsar a Emotet , esta vez utilizando técnicas refinadas de spearphishing. Solo unas semanas después, descubrimos que los actores de amenazas estaban atrayendo a las víctimas a través del lanzamiento del libro del ex contratista de defensa de la NSA Edward Snowden . Y este año, Bleeping Computer informó que los actores de amenazas habían logrado entrenar a la botnet Emotet para robar archivos adjuntos legítimos de correo electrónico y luego incluirlos entre otros archivos maliciosos.adjuntos como una forma de legitimarlos.

Los actores de amenazas han hecho todo lo posible para entregar Emotet debido a sus capacidades destructivas. Aunque el malware comenzó como un simple troyano bancario para robar información confidencial y privada, hoy en día a menudo se usa en conjunto para entregar otros troyanos bancarios, como TrickBot, que pueden robar información financiera e inicios de sesión bancarios. Sin embargo, esta cadena de ataque no se detiene aquí, ya que los actores de amenazas también usan Emotet y Trickbot para entregar el ransomware Ryuk .

Para agravar el peligro para una organización está la capacidad de Emotet para difundirse a través de una red. Una vez que este malware se ha arraigado dentro de una red, ha descarrilado a innumerables consumidores, empresas e incluso ciudades enteras. De hecho, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Los gobiernos han pagado hasta $ 1 millón para remediar un ataque de Emotet .

Cómo proteger su negocio de Emotet

Nuestro consejo para protegerse contra Emotet sigue siendo el mismo. Los usuarios deben estar atentos a los correos electrónicos de phishing, los correos electrónicos no deseados y cualquier cosa que incluya archivos adjuntos, incluso correos electrónicos que parezcan provenir de contactos o colegas conocidos.

Para los usuarios que hacen ese clic arriesgado, la mejor defensa es una solución de ciberseguridad que ya tenga funcionando. Recuerde, la mejor defensa contra una infección por Emotet es asegurarse de que nunca suceda en primer lugar. Eso requiere protección constante, no solo una respuesta posterior a los hechos.

Google ha lanzado recientemente la versión 86.0.4240.111 de Chrome para reparar varios agujeros . Una es para una falla de día cero , lo que significa una vulnerabilidad que se está explotando activamente en la naturaleza.

La falla, que se designa oficialmente como CVE-2020-15999, ocurre en la forma en que FreeType maneja las imágenes PNG incrustadas en fuentes usando la función Load_SBit_Png . FreeType es una biblioteca de representación de texto popular que utiliza Chrome. Según el informe de error presentado por Sergei Glazunov, un investigador de seguridad del propio equipo Project Zero de Google, la función tiene las siguientes tareas:

1) Obtiene el ancho y alto de la imagen del encabezado como enteros de 32 bits.
2) Trunca los valores obtenidos a 16 bits y los almacena en una estructura ‘TT_SBit_Metrics’.
3) Utiliza los valores truncados para calcular el tamaño del mapa de bits.
4) Asigna la tienda de respaldo de ese tamaño. 5) Pasa ‘png_struct’ y el almacén de respaldo a una función libpng .

Glazunov explica además que dado que la función libpng usa valores de 32 bits en lugar de los valores truncados de 16 bits, podría ocurrir un desbordamiento del búfer de pila en FreeType si el ancho y / o alto del PNG excede 65535, el búfer o memoria más alto posible asignado para esto. tipo de datos. Esto daría como resultado que ciertos datos se sobrescribieran o corrompieran y, en general, el programa se comportaría de manera diferente. Por lo tanto, cualquier persona que aproveche este error con éxito podría permitir la ejecución remota de código malicioso en el contexto del navegador o comprometer completamente el sistema afectado.

Google no dio más detalles sobre cómo se está explotando CVE-2020-15999 para apuntar a sus usuarios, o quién posiblemente esté detrás de la explotación.

Actualiza tu Chrome ahora

Se recomienda a los usuarios de Chrome que actualicen a la versión actual del navegador, 86.0.4240.111, para protegerse de ser explotados. Los equipos de desarrollo que utilizan las mismas bibliotecas FreeType deben actualizar a FreeType 2.10.4.

Justo cuando pensábamos que el código QR estaba saliendo, la pandemia ha provocado el regreso del atajo escaneable. COVID-19 ha significado encontrar un equivalente digital a las cosas que normalmente se entregan físicamente, como menús, guías turísticos y otros trámites, y muchas organizaciones han adoptado el código QR para ayudar con esto. Y también, al parecer, los criminales. Los estafadores han desempolvado su libro de trucos que abusan de los códigos QR y estamos empezando a ver nuevas estafas. O tal vez solo viejas estafas en lugares nuevos.

¿Qué es un código QR de nuevo?

Un resumen rápido para aquellos que se lo perdieron. Un código de respuesta rápida (QR) no es más que un código de barras bidimensional. Este tipo de código fue diseñado para ser leído por robots que realizan un seguimiento de los artículos en una fábrica. Como un código QR ocupa mucho menos espacio que un código de barras heredado, su uso pronto se extendió.

Los teléfonos inteligentes pueden leer códigos QR fácilmente; todo lo que se necesita es una cámara y un pequeño software. Algunas aplicaciones, como las aplicaciones bancarias, tienen un software de lectura de códigos QR incorporado para facilitar que los usuarios realicen pagos en línea. En algunos otros casos, los códigos QR se utilizan como parte de un procedimiento de inicio de sesión.

Los códigos QR son fáciles de generar y difíciles de diferenciar. Para la mayoría de los ojos humanos, todos se ven iguales. Más o menos así:

¿Por qué vuelven los códigos QR?

Durante algún tiempo, estos códigos QR se utilizaron principalmente en entornos industriales para ayudar a realizar un seguimiento del inventario y la producción. Más tarde, ganaron algo de popularidad entre los anunciantes porque era más fácil para los consumidores escanear un código que escribir una URL larga. Pero la gente no podía saber a partir de un código QR a dónde los llevaría el escaneo, por lo que se volvieron cautelosos y los códigos QR comenzaron a desaparecer. Luego vino la pandemia y los empresarios tuvieron que ser creativos para proteger a sus clientes contra una infección viral de la vida real.

Por nombrar un ejemplo, por temor a propagar COVID-19 entre muchas personas que tocan el mismo menú en un restaurante, las empresas colocaron códigos QR en sus mesas para que los clientes pudieran escanear el código y abrir el menú en el navegador de su teléfono. Limpio y sencillo. A menos que un visitante anterior con malas intenciones haya reemplazado el código QR por el suyo. Ingrese estafas de códigos QR.

Algunas estafas conocidas de códigos QR

La estafa de códigos QR más fácil de realizar es el secuestro de clics . A algunas personas se les paga para atraer a otros a hacer clic en un enlace determinado. Qué mejor manera que reemplazar los códigos QR en un monumento popular, por ejemplo, donde la gente espera encontrar información de fondo sobre el punto de referencia siguiendo el enlace del código QR. En cambio, el código QR reemplazado los lleva a un sitio sórdido y el operador de clickjacking recibe su tarifa.

Otro truco es la estafa de pequeños pagos por adelantado. Para algunos servicios, se acepta como normal realizar un pago por adelantado antes de poder utilizar ese servicio. Por ejemplo, para alquilar una bicicleta compartida, se le solicita que realice un pequeño pago para abrir el candado de la bicicleta. El código QR para identificar la bicicleta e iniciar el proceso de pago está impreso en la bicicleta. Pero los códigos QR legítimos pueden ser reemplazados por delincuentes que estén felices de recibir estos pequeños pagos en su propia cuenta.

Los enlaces de phishing se pueden disfrazar fácilmente como códigos QR. Los phishers colocan códigos QR donde tiene sentido para el usuario. Entonces, por ejemplo, si alguien espera iniciar sesión para iniciar un procedimiento de pago u obtener acceso a un determinado servicio, los estafadores pueden colocar un código QR allí. También hemos visto correos de phishing equipados con códigos QR fraudulentos.

El correo electrónico que se muestra arriba indica al receptor que instale la «aplicación de seguridad» de su banco para evitar que su cuenta se bloquee. Sin embargo, apuntó a una aplicación maliciosa fuera de la tienda web. El usuario tuvo que permitir las instalaciones de una fuente desconocida para hacer esto, lo que debería haber sido una gran señal de alerta, pero aún así algunas personas se enamoraron.

Por último, está la estafa de pagos de redireccionamiento, que fue utilizada por un sitio web que facilitó los pagos de Bitcoin. Mientras que el usuario ingresó una dirección de Bitcoin como receptor, el sitio web generó un código QR para una dirección de Bitcoin diferente para recibir el pago. Es otra estafa más que demuestra que los códigos QR son demasiado difíciles de leer para los humanos.

Cómo evitar las estafas de códigos QR

Hay algunos métodos de sentido común para evitar las peores estafas de códigos QR:

• No confíe en los correos electrónicos de remitentes desconocidos.
• No escanee un código QR incrustado en un correo electrónico. Trátelos como enlaces porque, bueno, eso es lo que son.
• Verifique si se pegó una etiqueta de código QR diferente sobre el original y, de ser así, manténgase alejado de ella. O mejor aún, pregunte si está bien eliminarlo.
• Utilice un escáner QR que verifique o muestre la URL antes de seguir el enlace.
• Utilice un bloqueador de estafas o un filtro web en su dispositivo para protegerse contra estafas conocidas.

Incluso si el correo de un banco parece legítimo, al menos debe verificar con el banco (utilizando un número de contacto que haya encontrado en una carta o en su sitio web) si le piden que inicie sesión en un sitio que no sea el suyo. , instale software o pague por algo que no haya pedido.

Como precaución adicional, no utilice su aplicación bancaria para escanear códigos QR si se salen del patrón normal de un procedimiento de pago.

¿Quiero saber qué sigue?

Quizás no, pero advertido está prevenido. Un método en desarrollo para reemplazar los códigos QR en dispositivos Android es la etiqueta Near Field Communication (NFC). Las etiquetas NFC, como los códigos QR, no requieren una aplicación para leerlas en dispositivos más modernos. La mayoría de los iPhones y Androids recientes pueden leer etiquetas NFC de terceros sin requerir software adicional, aunque los modelos más antiguos pueden necesitar una aplicación para leerlos.

Las etiquetas NFC también son imposibles de leer por humanos, pero requieren una presencia real, es decir, no se pueden enviar por correo. Pero con el aumento de la popularidad de los pagos sin contacto, es posible que veamos más estafas centradas en este tipo de comunicación.

Los compradores ávidos de Amazon Prime Day pueden haber estado preocupados de no haberlo visto este año, gracias al coronavirus. No temas, el mes pasado Amazon anunció que Prime Day tendrá lugar tres meses después de su fecha anual original, a partir de hoy. Y este año, se llevará a cabo durante dos días, en lugar de uno.

Esto podría marcar el comienzo de las compras navideñas tempranas de la “temporada alta”, que generalmente ocurre una semana antes del Día de Acción de Gracias.

Dicho esto, es hora de repasar nuestro ingenio en ciberseguridad para poder comprar temprano, de manera segura y ahorrarnos futuros dolores de cabeza en la nueva temporada de compras.

Cómo comprar Amazon Prime Day de forma práctica y cibersensible

1. Asegure su cuenta de Amazon Prime

Puede hacer esto configurando la autenticación de dos factores (2FA), si aún no lo ha hecho. Muchos sitios web en estos días ya tienen un medio secundario para autenticar una sesión o al usuario. Como usuario de Amazon, debe saber que Amazon ha estado utilizando esta función de seguridad durante mucho tiempo. Si no está al tanto de esto, vaya a su página local de Ayuda y Servicio al Cliente de Amazon y busque “autenticación de dos factores” para comenzar.

2. Use solo su tarjeta de crédito cuando compre en línea

Cuando se trata de qué tarjeta usar al comprar cosas en línea, no puede equivocarse al usar una tarjeta de crédito en lugar de una tarjeta de débito. ¿Por qué? Porque las tarjetas de crédito tienen protección contra el fraude, mientras que las tarjetas bancarias, a menudo, no tienen ninguna.

3. Usa la aplicación oficial de Amazon

Puede descargarlo de las tiendas de aplicaciones de Google Play y Apple . No solo sería conveniente hacerlo, sino que también es más seguro, siempre y cuando esté usando el legítimo, por supuesto. Es seguro asumir que los ciberdelincuentes no dejarían pasar el Prime Day, ya sea que la fecha se haya movido este año o no , dado que Amazon es un nombre tan familiar en el que pueden confiar.

4. Usa tu Alexa para comprar

Esto puede sonar contradictorio, dado que no podemos enfatizar lo suficiente lo vulnerables e inseguros que son los dispositivos de IoT . Pero aún puede usar su Alexa para comprar, solo asegúrese de hacerlo teniendo en cuenta la seguridad y la privacidad. Con esto, queremos decir que Alexa no debe activarse de inmediato, desde la caja hasta el tocador. Así que asegúrese de tomarse el tiempo y el esfuerzo para configurar su asistente personal según el nivel de privacidad que desea que le brinde el dispositivo. Aquí hay varios puntos a considerar:

• Primero asegúrese de proteger su red doméstica.
  • ¿Ha cambiado el nombre predeterminado de la red Wi-Fi de su hogar?
  • ¿Está habilitado el firewall de su enrutador?
  • ¿Está utilizando las credenciales predeterminadas del enrutador?
  • ¿Es la contraseña de su red inalámbrica la más segura que puede establecer?
  • ¿Está actualizado el firmware de su enrutador?
  • ¿Ha desactivado funciones del enrutador que realmente no necesita o usa?
• Administra la grabación de voz de Alexa.
  • Puede hacer esto configurándolo para que elimine automáticamente las grabaciones de voz en la configuración más temprana, que es de 3 meses. Si cree que es demasiado largo, puede eliminar manualmente las grabaciones usted mismo.
• Desactive la función que permite a los usuarios mejorar las capacidades de transcripción de Alexa.
• Bloquea ciertos comandos de compra por voz detrás de un PIN.
• Apague su Alexa (o su micrófono) cuando no esté en uso.

5. Compre solo a vendedores con los que se sienta cómodo comprando productos

Esto puede parecer una decisión fácil, pero cuando ya esté en su computadora o teléfono y vea algo que realmente desea, que no está en su lista de compras, por cierto, asegúrese de que su deseo no lo ciegue a la reputación del vendedor. Cuando se encuentre en esta posición, hágase estas preguntas: ¿Realmente sería una molestia para mí si verifico lo que otros compradores tienen que decir sobre este vendedor antes de comprarles algo? ¿Parece que las reseñas provienen de compradores reales y no de revisores pagados? ¿Cuánto tiempo lleva vendiendo este proveedor en Amazon? ¿Es este trato demasiado bueno para ser verdad?

6. Conozca las políticas de Amazon

Si encuentra un correo electrónico, una llamada, un mensaje de texto o una página web sospechosos que afirman ser de Amazon o de alguien asociado con la empresa, ¿sabría qué hacer? Familiarízate con las políticas de Amazon para que puedas ir un paso por delante de los estafadores.

7. Utilice una VPN , especialmente cuando vaya de compras.

Todo el mundo sabe que el Wi-Fi público generalmente se considera peligroso. Como tal, se recomienda a los usuarios que se conecten a una red Wi-Fi pública con precaución; de lo contrario, corre el riesgo de comprometer su privacidad, junto con sus credenciales e información de identificación personal (PII) . Una forma de abordar esto es usar VPN en una red pública segura (protegida por contraseña, en otras palabras). La advertencia aquí, por supuesto, es que debe elegir una aplicación VPN móvil que no se limite a hablar .

La otra forma es no comprar sobre la marcha.

8. Familiarícese con posibles estafas dirigidas a usuarios de Amazon como usted.

Saber es la mitad de la batalla. Lea y recuerde que un modus operandi (MO) ciberdelincuente conocido es apuntar a usuarios que no están al tanto y / o que parecen no preocuparse por su seguridad y privacidad. Una vez que tenga una idea de su modus operandi, es más probable que esté atento y, a su vez, evite las estafas.

9. Seguridad más allá del Prime Day

Es poco probable que la temporada de compras termine con Prime Day, y tampoco nuestra vigilancia como compradores en línea. De esta manera, podemos mantener nuestros datos y PII tan seguros y lejos del alcance de los delincuentes en línea como sea posible. Amazon es una de las muchas plataformas que usamos para comprar. Pero lo que hemos descrito aquí se puede modificar para aplicarlo a otros.

Un reciente ataque de ransomware que jugó un papel importante en la muerte de una mujer alemana ha puesto de relieve tanto los peligros como la importancia de la ciberseguridad en la actualidad. Pero también ha llevado a algunos a señalar con el dedo quién fue el responsable.

Como de costumbre, jugar al juego de la culpa no ayuda a nadie, pero nos recuerda la imperiosa necesidad de trabajar en la seguridad de la atención médica.

¿Que pasó?

Hace unas semanas, el hospital universitario Uniklinikum de la ciudad alemana de Düsseldorf sufrió un ataque de ransomware. El hospital decidió no admitir nuevos pacientes hasta que resolviera la situación y restableciera el funcionamiento normal.

Debido a la parada de admisiones, una mujer que necesitaba ayuda inmediata tuvo que ser llevada al hospital de Wuppertal, que está a unas 20 millas más allá. Desafortunadamente, murió al llegar. Los 30 minutos adicionales que tardó en llevarla al siguiente hospital resultaron ser fatales.

Al final resultó que, el objetivo de la banda de ransomware ni siquiera era el hospital, sino la universidad a la que pertenece el hospital. Cuando los atacantes se enteraron de que el hospital también había sido víctima, entregaron la clave de descifrado de forma gratuita. A pesar de esa clave, el hospital tardó más de dos semanas en alcanzar un nivel de operatividad que les permitiera aceptar nuevos pacientes.

Esto no solo es trágico porque la mujer podría haberse salvado si el hospital universitario hubiera estado operativo, sino también porque demuestra una vez más cómo una de las partes más importantes de nuestra infraestructura carece de las defensas adecuadas contra amenazas prevalentes como el ransomware.

¿Cuáles son los principales problemas a los que se enfrenta la seguridad sanitaria?

En el pasado, hemos identificado varios elementos que hacen que la industria de la salud, y los hospitales en particular, sean más vulnerables a las ciberamenazas que muchas otras verticales.

Estos son algunos de esos elementos problemáticos:

• Internet de las cosas (IoT): debido a su naturaleza y método de uso, encontrará muchos dispositivos de IoT en hospitales que se ejecutan en diferentes sistemas operativos y requieren configuraciones de seguridad específicas para protegerlos del mundo exterior.
• Sistemas heredados: muy a menudo, los equipos más antiguos no funcionan correctamente con los sistemas operativos más nuevos, lo que da como resultado que varios sistemas se ejecuten en un SO desactualizado e incluso en software que haya llegado al final de su vida útil . Esto significa que el software ya no recibirá parches ni actualizaciones incluso cuando haya problemas conocidos.
• Falta de copias de seguridad adecuadas: incluso cuando se ha resuelto el problema subyacente, el objetivo atacado puede tardar demasiado en volver a un estado operativo. Los institutos deben tener al menos un plan de respaldo y tal vez incluso equipos y servidores de respaldo para las funciones más vitales para que puedan mantenerlos en funcionamiento cuando ocurre un desastre.
• Estresores adicionales: problemas adicionales como COVID-19, incendios y otros desastres naturales pueden reducir el tiempo y dejar de lado la necesidad de realizar actualizaciones, hacer copias de seguridad o pensar en cualquier cosa relacionada con la ciberseguridad. Estos factores estresantes y otras razones a menudo se denominan «tenemos cosas más importantes que hacer».

Riesgos de seguridad de IoT

Muchos dispositivos médicos que investigan y monitorean al paciente están conectados a Internet. Los consideramos parte del Internet de las cosas (IoT) . Este grupo de dispositivos viene con su propio conjunto de riesgos de seguridad, especialmente cuando se trata de información de identificación personal (PII) .

En todos los casos, es recomendable investigar si la configuración de los dispositivos permite acceder a él a través de la intranet en lugar de Internet. Si es posible, eso facilita proteger el dispositivo del acceso no autorizado y mantener los datos confidenciales dentro del perímetro de seguridad.

Sistemas heredados

Los sistemas médicos provienen de varios proveedores y en cualquier hospital encontrará muchos tipos diferentes. Cada uno con su propio objetivo, guía de usuario y régimen de actualización. Para muchos sistemas heredados, la regla de actuación será no jugar con él si funciona. El temor a una falla del sistema supera la urgencia de instalar los últimos parches. Y podemos relacionarnos con ese estado mental, excepto cuando se aplica a las actualizaciones de seguridad en un sistema conectado.

Estrés por desastres

Bien, aquí viene nuestra enésima mención de COVID-19, lo sé, pero es un factor que no podemos ignorar.

La reciente pandemia global contribuye a la falta de tiempo que el personal de TI de muchas organizaciones de atención médica siente que tiene. Lo mismo ocurre con muchos otros desastres que requieren la creación de soluciones de emergencia.

En algunos casos, se construyeron clínicas especializadas completas para tratar con las víctimas de COVID-19 y para reemplazar la capacidad perdida en otros desastres como incendios forestales y deslizamientos de tierra.

¿Asuntos más importantes a la mano?

Es difícil exagerar la importancia del “triaje” en el sistema de salud. Es probable que los profesionales de la salud, como enfermeras y médicos, lo practiquen todos los días, dando prioridad a las necesidades más críticas del paciente segundo a segundo.

No debería sorprender que la clasificación también tenga un lugar en la administración de TI. Los centros de salud deben determinar qué sistemas requieren atención inmediata y qué sistemas pueden esperar.

Curiosamente, el CISO del hospital que sufrió el ataque de ransomware fue acusado de negligencia en algunos medios alemanes. La aplicación de la ley en Alemania está avanzando tanto para tratar de identificar a las personas detrás del ataque de ransomware, como para acusarlas potencialmente de homicidio negligente debido a la muerte de la mujer.

Si bien difícilmente podemos culpar al CISO por la muerte de la mujer, puede llegar un momento en que la seguridad inadecuada y sus resultados puedan conllevar un castigo para los responsables.

Ransomware en particular

El ransomware en juego en el caso alemán se identificó como DoppelPaymer y se determinó que estaba implantado dentro de la organización utilizando la vulnerabilidad CVE-2019-19781 en las VPN de Citrix.

En noticias más recientes, nos enteramos de que los hospitales de UHS en los EE. UU. Se vieron afectados por el ransomware Ryuk .

También es importante recordar que los costos de un ataque de ransomware a menudo se subestiman. La gente tiende a mirar solo el monto real del rescate exigido, pero los costos adicionales suelen ser mucho más altos que eso.

Se necesitan muchas horas-personas para restaurar todos los sistemas afectados en una organización y volver a un estado completamente operativo. El tiempo de recuperación será menor en una organización que viene preparada. Tener un plan de restauración y copias de seguridad adecuadas que sean fáciles de implementar puede agilizar el proceso de volver al negocio. Otra tarea importante es averiguar cómo sucedió y cómo tapar el agujero, para que no vuelva a suceder. Además, puede ser necesaria una investigación exhaustiva para comprobar si el atacante no dejó ninguna puerta trasera .

Hay un problema para cada solución

La seguridad probablemente nunca alcanzará una calidad hermética, por lo que además de hacer que nuestra infraestructura, especialmente las partes vitales de la misma, sean lo más seguras posible, también debemos pensar en el futuro y hacer planes para lidiar con una brecha. Ya sea que se trate de una filtración de datos o un ataque que paraliza partes importantes de nuestros sistemas, queremos estar preparados. Saber qué hacer, y en qué orden, puede ahorrar mucho tiempo en la recuperación ante desastres. Tener las herramientas y las copias de seguridad a mano es el segundo paso para limitar los daños y ayudar con una recuperación rápida.

En resumen, necesitarás:

• Planes de recuperación para diferentes escenarios: filtraciones de datos , ataques de ransomware, lo que sea
• Copias de seguridad de archivos que son recientes y fáciles de implementar u otro tipo de método de reversión
• Sistemas de respaldo que pueden asumir el control cuando los sistemas críticos están paralizados
• Capacitación para los involucrados, o al menos una oportunidad para familiarizarlos con los pasos de los planes de recuperación.

Y por último, pero no menos importante, no olvide centrarse en la prevención. Lo mejor de un plan de recuperación es que nunca lo necesita.

Cuando el incipiente concepto de Internet de las cosas (IoT) comenzaba a entusiasmar al mundo hace casi una década, tal vez ningún amante del café en ese momento se hubiera imaginado incluir la máquina de café en la lista de dispositivos conectados a Internet, incluso en broma . Es cierto que la máquina de café simple y utilitaria puede no ser tan popular ahora como solía serlo en el pasado, pero su disponibilidad continua dentro de las oficinas y las cocinas de los hogares privados, además de los riesgos inherentes, al igual que cualquier dispositivo de IoT, pueden estar en igualdad de condiciones con su altavoz inteligente , timbre inteligente o bombilla inteligente .

Los problemas de ciberseguridad que rodean a las máquinas de café conectadas a Internet se ven acentuados por las últimas noticias sobre cómo Martin Hron, un ingeniero inverso de Avast, manipuló su cafetera Smarter no solo para emitir un pitido y arrojar agua caliente, sino también para privarlo de una buena preparación matutina. y mostrar una breve nota de rescate.

Sí, Hron convirtió su cafetera en una máquina de ransomware modificando directamente su firmware .

Tu caos antes del desayuno

En pocas palabras, el firmware es un software que permite a los usuarios controlar el hardware electrónico que están usando. Normalmente, el firmware no tiene cifrado o cualquier forma de protección, por lo que es un objetivo probable y fácil de golpear por maliciosos hackers y sp agencias Y .

“Mis colegas a menudo me escuchan decir que ‘el firmware es un software nuevo’. Y que el software es muy a menudo viciado “, escribe Hron en un TPV de blogs t detallando su máquina de café retoques hazañas ,“El estado de debilidad de la seguridad de la IO se debe en gran parte al hecho de que, hoy en día, es más cómoda y barata de lugar un procesador dentro de un dispositivo […]. Esta solución no solo es barata, sino que también tiene una propiedad importante: se puede actualizar «.

Cuando se trata de irrumpir en cafeteras inteligentes para explorar vulnerabilidades en dispositivos inteligentes, este no es el primer rodeo de Hron. También hizo una máquina de ransomware con la cafetera que pirateó en junio de 2019 para que hiciera las cosas que hemos visto en el video anterior. No solo eso, demostró que los dispositivos inteligentes, en general, se pueden usar como una puerta de entrada a redes privadas, permitiendo que los actores de amenazas hagan lo que quieran dentro de este espacio. Desde espiar en todos los dispositivos conectados a la misma red a la que está conectada la máquina de café, hasta interceptar la comunicación entre usuarios, descargar datos confidenciales y cargar software malicioso.

Desafortunadamente, esto último fue lo que le sucedió a una empresa cuando de repente se introdujo ransomware en su sistema a través de una máquina de café comprometida.

Café, conectividad y una nota de rescate

Un usuario de Reddit que usó el identificador C10H15N1 (admitió que el alias era desechable para mantener el anonimato) se dio cuenta de primera mano de cómo un pequeño error al configurar dispositivos de IoT en el lugar de trabajo podría causar pánico y problemas potencialmente masivos si no tratado desde el principio.

Hace tres años, relataron en una publicación , se enfrentaron a un problema cuando un operador de un sistema de control de fábrica local informó que las cuatro computadoras con software de monitoreo instalado estaban inactivas y mostraban un mensaje de error, que luego descubrimos que es en realidad un mensaje de ransomware. Como experto en controladores lógicos programables (PLC), C10H15N1 ayudó al operador a descubrir qué estaba mal y encontrar una solución. Primero, el operador le describió lo que sonaba como una infección de ransomware, algo que no sucedería dado que las computadoras afectadas, que aún funcionaban con una versión desactualizada de Windows XP, no estaban conectadas a Internet.

Luego, C10H15N1 le indicó al operador que reiniciara las computadoras y reinstalara una imagen nueva. Funcionó durante un tiempo, luego, una por una, las computadoras comenzaron a mostrar el mismo error nuevamente, dejando a C10H15N1 perplejo. Mientras estaba en medio de averiguar por qué se reinfectaron las computadoras, el operador se fue a buscar café, solo para regresar con las manos vacías porque no podía obtener una taza ya que las máquinas de café mostraban el mismo mensaje de error.

Al final del día, ningún humano o máquina resultó dañado durante el ataque. Finalmente se dieron cuenta de que los actores maliciosos usaban las máquinas de café como plataforma para infectar otras computadoras dentro de su red. Normalmente, las cafeteras inteligentes están conectadas a su propio Wi-Fi aislado; sin embargo, el personal de terceros que instaló las cafeteras las conectó a la red de la sala de control mediante un cable.

Sin embargo, la empresa de C10H15N1 envió una carta mordaz a su proveedor de máquinas de café sobre lo sucedido.

¿Qué puede hacer para protegerse de los problemas que le puede causar su cafetera inteligente?

Si bien es cierto que el ransomware de IoT ya no es una teoría, sino una realidad, aunque rara, esto no significa que esté bien que las organizaciones y los consumidores mantengan la guardia baja. Ahora que tenemos un escenario del mundo real, junto con múltiples hazañas de investigadores de seguridad que han logrado piratear percoladores inteligentes [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ], el ransomware de IoT debe estar en todos radares de empresas y ciudadanos privados. Ya deberían estar pensando en formas de protegerse mejor. Comencemos con estos:

• Asegúrese de que su cafetera inteligente no esté conectada a una red que también esté conectada por sistemas con información confidencial. También evite conectarse a una red donde se produzcan comunicaciones sensibles dentro de su organización (o hogar).
• Actualice el firmware de su cafetera inteligente lo antes posible.
• Asegure su red. En lugar de usar la contraseña predeterminada de su enrutador, cámbiela por una más compleja.

Cuando se trata de si debe obtener un dispositivo IoT o no, la regla general es primero hacerse esta pregunta: ¿ Realmente necesito mi bombilla / cafetera / lavadora / timbre / otros artículos del hogar para ser inteligente?

Si su respuesta es “no”, entonces debe seguir usando los artículos y electrodomésticos que está usando. Sin embargo, si tener un IoT en el hogar es inevitable , realmente necesita reemplazar ese televisor roto y ya no hay ninguna tienda que venda la misma marca y modelo, entonces compre ese televisor inteligente y esa cafetera inteligente también. mientras estás en eso. Pero asegúrese de hacer todo lo posible para mantenerse protegido. Recuerde que su proveedor tiene un papel que desempeñar en la seguridad de las cosas. Tú también tienes tu parte.

Para comprender mejor los métodos modernos de detección de malware, es una buena idea mirar las cajas de arena. En ciberseguridad, el uso de sandboxes ha ganado mucha tracción durante la última década. Con la gran cantidad de malware nuevo que nos llega todos los días, los investigadores de seguridad necesitaban algo para probar nuevos programas sin invertir demasiado de su valioso tiempo.

Las cajas de arena brindan entornos ideales y aislados para detectar ciertos tipos de malware sin darle la oportunidad de propagarse. Según el comportamiento observado, las muestras se pueden clasificar como inofensivas, maliciosas o «necesita una mirada más de cerca».

La ejecución de programas en un entorno tan apartado se denomina sandboxing y el entorno en el que se permite ejecutar las muestras se denomina sandbox.

Definición de sandboxing

Comencemos con una definición para que sepamos de qué estamos hablando. Hay muchas definiciones, pero soy parcial a esta :

“El sandboxing es una estrategia de administración de software que aísla las aplicaciones de los recursos críticos del sistema y otros programas. La zona de pruebas ayuda a reducir el impacto que cualquier programa o aplicación individual tendrá en su sistema «.

No soy partidario de esta definición porque sea más correcta que otras definiciones, sino porque dice exactamente lo que queremos de una caja de arena en la investigación de malware: sin impacto en los recursos críticos del sistema. Queremos que el malware nos muestre lo que hace, pero no queremos que interfiera con nuestro monitoreo o infecte otros sistemas importantes. Preferiblemente, queremos que cree un informe completo y pueda restablecer la caja de arena rápidamente para que esté lista para la siguiente muestra.

Detección de malware y sandboxing

Partiendo de esa definición, podemos decir que un sandbox de ciberseguridad es un entorno físico o virtual que se utiliza para abrir archivos o ejecutar programas sin la posibilidad de que ninguna muestra interfiera con nuestro monitoreo o afecte permanentemente al dispositivo en el que se están ejecutando. La zona de pruebas se utiliza para probar código o aplicaciones que podrían ser maliciosas antes de distribuirlas en dispositivos críticos.

En ciberseguridad, el sandboxing se utiliza como método para probar software que terminaría siendo categorizado como «seguro» o «inseguro» después de la prueba. En muchos casos, se permitirá que el código se ejecute y se utilizará un algoritmo de aprendizaje automático (ML) u otro tipo de Inteligencia Artificial (IA) para clasificar la muestra o moverla hacia arriba para una determinación más cercana.

Software malicioso y sandboxes en línea

A medida que avanzaba el desarrollo de la tecnología sandbox y surgía la demanda de un método rápido para probar el software, vimos la introducción de sandboxes en línea. Estos son sitios web donde puede enviar una muestra y recibir un informe sobre las acciones de la muestra según lo observado por el sandbox en línea.

Aún se necesita un ojo experimentado para determinar a partir de estos informes si la muestra enviada fue maliciosa o no, pero para muchos administradores de sistemas en una organización pequeña, es una verificación rápida que les permite decidir si quieren permitir que algo se ejecute dentro de su perímetro de seguridad. .

Algunos de estos entornos sandbox en línea incluso han llevado este procedimiento un paso más allá y permiten la entrada del usuario durante el proceso de monitoreo.

Esta es una configuración ideal para esos tipos de situaciones en las que la víctima prevista necesita descomprimir un archivo adjunto protegido con contraseña y habilitar el contenido en un documento de Word. O esos molestos instaladores de adware que requieren que se desplace a través de su Acuerdo de licencia de usuario final (EULA) y haga clic en «Aceptar» e «Instalar». Como puedes imaginar. estos no harán mucho en una caja de arena completamente automatizada, pero para un analista de malware, estas muestras entrarían en la categoría que requiere atención humana de todos modos.

Sensibilidad de la caja de arena

En la actual «carrera armamentista» entre los creadores de malware y los profesionales de la seguridad, los creadores de malware comenzaron a agregar rutinas a sus programas que verifican si se ejecutan en un entorno virtual. Cuando los programas detectan que se están ejecutando en un sandbox o en una máquina virtual (VM), arrojan un error o simplemente dejan de ejecutarse silenciosamente. Algunos incluso realizan alguna tarea inofensiva para desviarnos de su pista. De cualquier manera, estas muestras de malware que evitan la zona de pruebas no ejecutan su código malicioso cuando detectan que se están ejecutando dentro de un entorno controlado. Su principal preocupación es que los investigadores puedan monitorear el comportamiento y proponer estrategias de respuesta, como bloquear las URL con las que la muestra intenta contactar.

Algunos de los métodos que utiliza el malware para determinar si se está ejecutando en una zona de pruebas son:

• Retrasar la ejecución para aprovechar el tiempo de espera integrado en la mayoría de los entornos sandbox.
• Huella digital de hardware. Los entornos sandbox y las máquinas virtuales se pueden reconocer ya que normalmente son diferentes de las máquinas físicas. Un uso mucho menor de recursos, por ejemplo, es uno de esos indicadores.
• Medición de la interacción del usuario. Algunos programas maliciosos requieren que el usuario esté activo para que se ejecuten, incluso si solo es un puntero del mouse en movimiento.
• Detección de red. Algunas muestras no se ejecutarán en sistemas que no estén en red.
• Comprobando otros programas en ejecución. Algunas muestras buscan procesos que se sabe que se utilizan para la supervisión y se niegan a ejecutarse cuando están activos. Además, la ausencia de otro software puede considerarse un indicador de ejecución en una caja de arena.

Sandboxes y máquinas virtuales

En el párrafo anterior hicimos referencia tanto a las máquinas virtuales como a las cajas de arena. Sin embargo, aunque los entornos sandbox y las máquinas virtuales comparten suficientes características como para confundirse entre sí, en realidad son dos tecnologías diferentes.

Lo que realmente los distingue es que la Máquina Virtual siempre actúa como si fuera un sistema completo. Una caja de arena se puede hacer mucho más limitada. Por ejemplo, se puede hacer que una caja de arena se ejecute solo en el navegador y ninguna de las otras aplicaciones en el sistema notaría que está allí. Por otro lado, una máquina virtual que esté completamente separada del resto del mundo, incluido su host, se consideraría una caja de arena.

Para completar el círculo, por así decirlo, hemos visto malware entregado en forma de VM. Este tipo de ataque se observó en dos familias separadas, Maze y Ragnar Locker. Los actores de amenazas de Maze incluyeron un instalador de VirtualBox y la unidad virtual de VM armada dentro de un archivo msi (paquete de instalador de Windows). Luego, los atacantes usaron un script por lotes llamado starter.bat para lanzar el ataque desde dentro de la VM.

---

Si desea conocer más detalles técnicos sobre estos ataques, aquí hay una lectura recomendada: Los atacantes de Maze adoptan la técnica de máquina virtual de Ragnar Locker

---

El futuro del sandboxing

Teniendo en cuenta que la contenedorización y las máquinas virtuales se están volviendo más comunes como reemplazo de las máquinas físicas, nos preguntamos si los ciberdelincuentes pueden permitirse cancelar su ataque cuando descubren que se están ejecutando en una caja de arena o en una máquina virtual.

Por otro lado, los métodos de detección de malware desarrollados alrededor de las cajas de arena son cada día más sofisticados.

Entonces, ¿podría ser este el campo donde la carrera armamentista está a favor de los buenos? Solo el futuro nos lo podrá decir.